НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Нужен ли ИБ-аудит?

Валерий Васильев
02.06.2015 14:11:13
Теги: аудит ИБ

Внутренний аудит ИБ в силу процессности характера обеспечения корпоративной ИБ так или иначе на предприятиях проводится. Но вот кто его проводит? Чаще всего как раз те, кого и надлежит аудировать.

Поэтому говорить нужно об аудите ИБ внешнем. Особенно в условиях серьезного усложнения задачи обеспечения корпоративной ИБ. К примеру, в средней компании, одних только инструментов защиты информации насчитывается сегодня десятки. И все их нужно обслуживать, причем при жестком дефиците специалистов и усложнении ИБ-угроз.

Не стоит верить тем, кто заявляет, что вообще не допускает вмешательства внешних аудиторов. С чего, например, начинается любой проект развертывания какого-либо ИБ-средства, как ни с внешнего ИБ-аудита, проводимого с помощью независимых аудиторов, ИБ-интеграторов или ИБ-вендоров? Если ваш бизнес завязан на международные платёжные системы, то вам хорошо знакомы ежегодные аудиторские проверки компаний Visa и MasterCard на соответствие стандарту PCI DSS. Ну а Роскомнадзор к вам с "аудитом" еще не заглядывал? Если нет, то лучше провести аудит "на соответствие" заблаговременно.

Реально ИБ-аудит уже распространен и будет распространяться все шире и глубже. Другого пути как в руки ИБ-аудиторов у нас нет. И относиться к этому нужно без паранойи. Можно, разве что, пожелать снижения стоимости аудита, да стандартизации пакетов услуг ИБ-аудиторов с учетом бизнес-профилей клиентов.

Комментариев: 1

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.06.2015 16:02:51

Хотел бы сразу оговориться, что тема эта весьма деликатная. Именно — деликатная. Потому как данные, полученные в результате аудита ИБ, являются сугубо конфиденциальными, а в некоторых случаях могут потянуть и на более высокий гриф. Именно поэтому не стоит забывать, что деятельность по аудиту ИБ подлежит контролю РЕГУЛЯТОРА, коим является ФСТЭК РФ. Более того, это лицензируемый вид деятельности, требующий от исполнителя необходимых компетенций, истории, персонала и особых лицензий, ограничивающих возможность разглашения данных аудита ИБ.
Внутренний аудит решения ИБ может быть реализован в рамках общего проекта по созданию корпоративной системы ИБ как один из этапов этой работы. Например, через год (два) после окончания внедрения. Такой аудит целесообразен только в русле деятельности службы собственной безопасности на предмет проверки исполнения проектных решений по ИБ. Известны многочисленные случаи случайного и намеренного пренебрежения исполнением требований по ИБ. Это и понятно, любая система ИБ накладывает на пользователя ограничения в плане использования ИТ-решений. Иногда ограничения эти весьма серьезны. Поэтому пользователь зачастую саботирует установленные регламенты в силу сложности, неудобства, возникновения препятствий в исполнении прямых служебных обязанностей. Для выявления этого и нужен внутренний аудит.
Аудит внешний иной. Часто он ограничивается формальным изучением документов — ИБ - проекта, инструкций, регламентов, политик — на соответствие требованиям регулятора (СТР-К). Кроме того, он фиксирует недостатки, связанные с невыполнением требований НОВЫХ нормативных документов регуляторов, принятых за отчетный период, о которых во внедренном решении нет даже упоминания. Иногда это может приводить к доработке самого проектного решения по ИБ в части развертывания новых средств защиты информации, не внедренных прежде. В любом случае, внешний аудит ИБ — это плановое мероприятие, которое необходимо проводить хотя бы раз в три года. В условиях жесткой российской действительности эта плановость часто реализуется при смене команды управленцев, или при переходе собственности, или еще в каком-либо из случаев пробуждения"жареного петуха". Скоротечность и непродуманность таких проектов приводит к нагромождению средств ИБ, к трудностям внедрения и использования и, в конечном итоге, к разгромным аудитам по истечению спокойного периода. Круг замыкается…
Поэтому плановость аудита — как внешнего, так и внутреннего — это его неотъемлемое свойство. Этим он и ценен. Просто внешний аудит может проводиться значительно реже, чем внутренний.